Puerto remoto reenviado a ldap colgado

tag-icon tag-icon ssh ssh-tunneling
Puerto remoto reenviado a ldap colgado

Tengo una máquina Windows (LOCAL), una VM Centos 7 (VM) y un LDAP (LDAP) con el que necesito hablar a través de VM.

LOCAL puede conectarse a VM y comunicarse de forma independiente con LDAP.

VM no puede hablar con LOCAL o LDAP directamente

Ejecuté un comando en LOCAL como

ssh -R 389:LDAP:389 VM

Ahora dentro de VM puedo hacer

curl ldap://localhost/..., proporcionando autenticación, y casi funciona. Se devuelve la respuesta adecuada pero la conexión se bloquea.

¿Por qué se cuelga? ¿Cómo puedo solucionarlo? Tengo control total sobre la VM, tengo control parcial sobre LOCAL y ningún control sobre LDAP. No tengo control sobre ninguna infraestructura con la que hablo.

Quiero poder hacer esto porque estoy implementando un clúster de OpenShift en varias máquinas virtuales, OpenShift debe autenticarse a través de un LDAP en particular. Con la configuración actual (para la cual curl se bloquea), la integración con ldap no funciona. He integrado openshift con una imagen de ldap docker que instalé en la red con la que VM puede comunicarse y funcionó bien, lo que me lleva a creer que este bloqueo es lo que está causando el problema.

Si estoy en una máquina ejecutando un ldap, entonces puedo hacer

ssh -R 400:localhost:389 localhost

En cuyo punto

curl ldap://localhost:400/...funciona bien (sin colgar)

lo cual es un poco desconcertante

Respuesta1

Se resolvió el problema, el bloqueo al rizar es en realidad un problema general relacionado con el rizo y la configuración particular de ldap.

https://github.com/curl/curl/issues/622

Esto ocurre cuando:

El backend ldap utilizado por su instalación de curl es openldap: probablemente sea el caso en Debian. Las consultas se realizan a un servidor que devuelve referencias: M$AD es una de ellas :-( La configuración ldap externa permite la búsqueda automática de referencias. Todavía no existe una manera fácil de admitir la búsqueda automática de referencias en curl. Como solución alternativa, puedo sugerirle deshabilite esta característica mediante la configuración de ldap ("REFERRALS off" en ldap.conf): esto liberará el bloqueo. Por supuesto, esto también perderá los resultados de las referencias, pero en el estado actual del curl, no se devolverán de todos modos.

Más detalles:https://curl.haxx.se/mail/lib-2016-01/0101.html

Openshift no funcionaba con ldap debido a problemas de red no relacionados

información relacionada